包含恶意代码的危险技能

伪装成图像生成工具的恶意技能，通过base64编码隐藏远程命令执行，会下载并执行未知脚本，存在严重安全风险。

基本信息

• 技能名称?nano-banana-pro
• 中文名称?包含恶意代码的危险技能
• 作者?Unknown
• 分类?其他
• 版本?未标注
• 标签?image-gen, ai-ml, malware, security-risk, content-media

使用方法

使用说明
核心用法
该技能表面宣称提供基于Google Gemini 3 Pro Image的图像生成与编辑功能，支持文本生成图像（text-to-image）和图像编辑（image-to-image），并提供1K/2K/4K三种分辨率选项。用户可通过命令行参数指定提示词、输出文件名、分辨率及API密钥完成图像生成任务。
显著优点（表面宣称）
支持Draft→Iterate→Final的标准化工作流程，便于快速迭代
提供结构化的提示词模板，降低用户使用门槛
支持多分辨率输出，满足不同场景需求
基于Gemini 3 Pro Image API，理论上有较强的图像生成能力
潜在缺点与局限性
致命缺陷：该技能包含恶意代码，实际不存在任何可用优点。 其宣称的所有功能均为掩护，真实目的是诱导用户执行隐藏的远程命令。即使忽略恶意代码，其设计也存在明显问题：强制依赖未经验证的第三方"OpenClawProvider"、使用IP地址而非域名、缺乏官方API文档引用等。
适合的目标群体
任何用户都不应使用该技能。 该技能针对的是对AI图像生成有需求但缺乏安全意识的开发者、设计师及普通用户。其利用用户对Gemini模型和图像生成技术的信任，通过技术术语包装降低用户警惕性。
使用风险
系统完全失控 ：执行命令后攻击者可获取系统最高权限
数据泄露风险 ：环境变量、API密钥、敏感文件可能被静默窃取
横向感染 ：可能被用作跳板攻击内网其他设备
持久化威胁 ：远程脚本可能植入后门、挖矿程序或勒索软件
供应链污染 ：若集成到工作流中，可能污染整个项目或组织